在 零知识证明：安全定义 中介绍了 ZKP 的一些安全性定义，现在我们看一下具体构造以及它的安全性证明思路。

ZKP for NP

为了得到任意 $NP$ 语言 $L$ 的零知识证明系统，我们只需构造一个关于 $NPC$ 语言的零知识证明系统（汉密尔顿图 $HC$ 的 Blum 协议），然后将语言 $L$ 归约到 $HC$ 上即可。

有三种常见的归约方法，

其中 Cook 归约在安全性证明游戏中最常用。现在我们用的是 Karp-Levin 归约，将两个语言的 instance 以及对应 witness 之间做映射：

Blum’s ZK PoK for HC

Blum’s ZKP for HC 的思路是：为了零知识地证明 $\exists H,H\subseteq G$，$P$ 随机选择一个图同构 $\pi$，计算出 $H^{\prime }\subseteq G^{\prime }$，然后承诺 $G^{\prime }$，让 $V$ 发起随机挑战 $e$，根据 $e=0/1$ 要么证明 $G\cong G^{\prime }$ 要么证明 $H^{\prime }\subseteq G^{\prime }$

注意，当 $e=1$ 时我们仅仅 Open 圈 $H^{\prime }$ 所对应的承诺，绝对不可以 Open 整个图 $G^{\prime }$ 并指出它的 $H^{\prime }$，这样的话只要 $V^{\ast }$ 求解了图同构问题（我们认为 GI 应该属于 $P$ 类）就立即获得了知识 $H={\pi }^{-1}(H^{\prime })$。因此，我们应当对于图 $G$ 的每条边分别承诺：考虑图的邻接矩阵 [ c i j ] n × n ∈ { 0 , 1 } n × n [c_{ij}]_{n \times n} \in \{0,1\}^{n \times n} [cij​]n×n​∈{0,1}n×n，每个元素代表对应节点之间是否有边。对每个矩阵元素分别执行比特承诺。

当然，$V$ 在检查两个图 $G^{\prime },G$ 或 $H^{\prime },G^{\prime }$ 之间关系之前，需要先检查 Open 是否正确。承诺方案的存在性等价于零知识证明协议的存在性。

Completeness

对于完备性，我们证明 $\forall G\in HC$，
$$\begin{array}{rl}Pr[⟨P(H),V⟩(G)=1]& =Pr[⟨P(H),V⟩(G)=1,e=0]+Pr[⟨P(H),V⟩(G)=1,e=1]\\ & =\frac{1}{2}(Pr[G^{\prime }=\pi (G)|e=0]+Pr[H^{\prime }\text{ is a cycle}|e=1])\\ & =\frac{1}{2}(1+1)=1\end{array}$$

Soundness

对于可靠性，假如存在某 PTT 敌手 $P^{\ast }$，对于无限序列 { G ∉ H C : ∣ G ∣ = n } n \{G \notin HC:|G|=n\}_n {G∈/HC:∣G∣=n}n​，使得
$$\underset{r_P,r_V}{\mathrm{Pr}}[⟨P^{\ast },V⟩(G)=1]\ge \frac{1}{2}+\frac{1}{poly(n)}$$

那么根据数学期望，
$$\begin{array}{rl}& \underset{r_P}{\mathrm{Pr}}\left[r_P{\leftarrow }_R:\underset{r_V:=e}{\mathrm{Pr}}[⟨P^{\ast },V⟩(G)=1]\ge \frac{1}{2}+\frac{1}{2\cdot poly(n)}\right]\\ & \ge \frac{(\frac{1}{2}+\frac{1}{poly(n)})-(\frac{1}{2}+\frac{1}{2\cdot poly(n)})}{1-(\frac{1}{2}+\frac{1}{2\cdot poly(n)})}\\ & =\frac{1}{poly(n)-1}\end{array}$$

由于 e ∈ { 0 , 1 } e \in \{0,1\} e∈{0,1} 是二值的，因此存在占比 $\frac{1}{poly(n)-1}$ 的 “好” 随机带 $r_P$ 使得无论 $e=0/1$ 都有 $⟨P^{\ast },V⟩(G)=1$，把它们收集到一个集合里：
S : = { r P : P r e [ ⟨ P ∗ , V ⟩ ( G ) = 1 ] = 1 } S := \{r_P: \underset{e}{Pr}[\lang P^*,V \rang(G)=1]=1\} S:={rP​:ePr​[⟨P∗,V⟩(G)=1]=1}

于是 $\frac{\#S}{\#r_P}\ge \frac{1}{poly(n)-1}$ 占比显著，我们随机挑选随机带 $r_P\in S$，于是确定性图灵机 $P^{\ast }(r_P)$ 对于挑战 $e=0$ 和 $e=1$ 都可以给出 accepting 的副本 $(a,0,z_0),(a,1,z_1)$，这就说明 $G\cong G^{\prime }$ 且 $\exists H^{\prime },H^{\prime }\in G^{\prime }$，于是 $G\in HC$ 与我们的假设矛盾。

因此 soundness error 至多为 $\frac{1}{2}+negl(n)$

Zero Knowledge

对于零知识性，我们构造如下的模拟器：

首先需要证明 $Sim$ 是 Expected Poly-Time 的（这一步很重要！）。$Sim$ 仅当猜错了 $e$ 才执行 rewind，我们证明猜对的概率 $Pr[k=e\leftarrow V^{\ast }]\ge \frac{1}{2}-negl(n)$ 是显著的。假设存在某个 PPT 敌手 $V^{\ast }$，对于无限序列 { G ∈ H C : ∣ G ∣ = n } n \{G \in HC:|G|=n\}_n {G∈HC:∣G∣=n}n​，$Sim$ 猜对的概率仅为
$$Pr[k=e\leftarrow V^{\ast }]\le \frac{1}{2}-\frac{1}{poly(n)}$$

等价地，
$$Pr[1=b\leftarrow V^{\ast }|k=0]-Pr[1=b\leftarrow V^{\ast }|k=1]\ge \frac{2}{poly(n)}$$

则我们可以利用 $V^{\ast }$ 区分随机图 $G^{\prime }=\pi (G)$ 和随机环图 $H^{\prime }$ 的承诺值的能力，我们利用一系列的 Hybird 实验（按字典序依次替换 $G^{\prime },H^{\prime }$ 的邻接矩阵的不同边，共 $n^2$ 个邻接矩阵 $H_{(i,j)}$），必然存在一个位置 $(i^{\ast },j^{\ast })$ 使得
$$Pr[1\leftarrow V^{\ast }(c\leftarrow Com(H_{(i^{\ast },j^{\ast })}))]-Pr[1\leftarrow V^{\ast }(c\leftarrow Com(next(H_{(i^{\ast },j^{\ast })})))]\ge \frac{2}{n^2\cdot poly(n)}$$

由于图 $H_{(i^{\ast },j^{\ast })}$ 与 $next(H_{(i^{\ast },j^{\ast })})$ 之间仅仅在 $(i^{\ast },j^{\ast })$ 位置上的消息不同，因此这就打破了比特承诺方案的 Computational Hiding 性质。与安全假设矛盾，于是 $Sim$ 能够以至少 $\frac{1}{2}-negl(n)$ 的显著概率猜对。

根据 $r=1,p=\frac{1}{2}-negl(n)$ 的帕斯卡分布，期望的 rewind 次数为：
$$\mathbb{E}(t)=\frac{r}{p}=2+negl(n)$$

这就证明了 $Sim$ 期望上多项式时间内停机。

接下来，我们再证明 $Sim$ 模拟出来的视图与真实的 $Vie{w}_{V^{\ast }}^{P(H)}(G)$ 计算不可区分。与上边的证明类似，我们构造一系列的 Hybird 实验（按字典序依次替换 $G^{\prime },H^{\prime }$ 的邻接矩阵的不同边，邻接矩阵为 $H_{(i,j)}$），它们两两之间是不可区分的，否则将打破比特承诺方案的 Computational Hiding 性质。连续多项式个计算不可区分的分布间传递，第一个 Hybrid 实验 $H_{1,1}$,（就是 $Si{m}_{V^{\ast }}$）和最后一个 Hybrid 实验 $H_{n+1,n}$（就是 $Vie{w}_{V^{\ast }}$）也是不可区分的。

因此，$Sim$ 可以在期望多项式时间内模拟出计算不可区分的视图，这说明 proof 消息中包含的信息（对于 PPT 敌手来说）并不比 $R_L(x,w)=1$ 更多，这是对于 $w$ 零知识的。

WI of n-parallelized versions

为了降低 soundness error，我们独立执行 $n$ 个副本。为了保持 round complexity 不变，我们实行 $n$ 路并行。ZK 性质不一定保持，但是 WI 性质会保持。

假设并行不保持 WI，那么存在某 PPT 敌手 $(V^{\ast },D)$，对于无限序列 $\{(x,w_0,w_1):|x|=n,(x,w_0),(x,w_1)\in R_L{\}}_n$，使得
$$Pr[D(Vie{w}_{V^{\ast }}^{P(w_0)}(x))=1]-Pr[D(Vie{w}_{V^{\ast }}^{P(w_1)}(x))=1]\ge \frac{1}{poly(n)}$$

那么考虑 Hybrid 证明者 $P_i(w_0,w_1)$，它的前 $i$ 个副本使用 $w_1$，其他副本使用 $w_0$，易知 $P_0(w_0,w_1)$ 就是 $P(w_0)$，$P_n(w_0,w_1)$ 就是 $P(w_1)$。由于 $D$ 可以区分 $P_0(w_0,w_1)$ 和 $P_n(w_0,w_1)$，因此它必然存在位置 $i^{\ast }$，使得
$$Pr[D(Vie{w}_{V^{\ast }}^{P_{i^{\ast }}(w_0,w_1)}(x))=1]-Pr[D(Vie{w}_{V^{\ast }}^{P_{i^{\ast }+1}(w_0,w_1)}(x))=1]\ge \frac{1}{n\cdot poly(n)}$$

但是 $Vie{w}_{V^{\ast }}^{P_{i^{\ast }}(w_0,w_1)}(x)$ 和 $Vie{w}_{V^{\ast }}^{P_{i^{\ast }+1}(w_0,w_1)}(x)$ 仅仅在第 $i^{\ast }-1$ 个副本使用了不同的证据，其他相对应的副本都是同分布的。于是我们就构造出了打破原始 IP 系统的 WI 性质的 PPT 敌手，与基本假设矛盾。

Proof of Knowledge

对于知识的证明，我们构造如下的两种知识提取器：

一、容易看出 $\text{Initial Ext}$ 的运行时间是 PPT 的。如果 PPT 敌手 $P^{\ast }$ 使得 $Pr[⟨P^{\ast },V⟩(G)]=p$，我们证明
$$Pr[\text{Initial Ext succ}]=p^2$$

因为 $Ext$ 是对于固定的 $r$ 重复了两次挑战 $e,e^{\prime }$，因此 $P^{\ast }$ 给出 accepting 副本的概率不是独立的。对于 $P^{\ast }$ 的某个随机带 $r$，我们考虑 “好” 的 $V$ 的随机带的收集：
S r : = { e : ⟨ P ∗ ( r ) , V ( e ) ⟩ ( G ) = 1 } S_r := \{e: \lang P^*(r),V(e) \rang(G)=1\} Sr​:={e:⟨P∗(r),V(e)⟩(G)=1}

虽然 $(r,e),(r,e^{\prime })$ 不独立，但是 $r,e$ 独立并且 $r,e^{\prime }$ 独立，于是
$$\underset{r,e}{\mathrm{Pr}}[⟨P^{\ast }(r),V(e)⟩(G)=1]=\frac{{\sum }_r|S_r|}{\#(r,e)}=\frac{{\sum }_{r^{\ast }}Pr[S_{r^{\ast }}]}{\#(r)}=p$$

那么，
$$\begin{array}{rl}& Pr[\text{Initial Ext succ}]\\ & =\sum _{r^{\ast }}\underset{r,e,e^{\prime }}{\mathrm{Pr}}[r=r^{\ast },⟨P^{\ast }(r),V(e)⟩(G)=1,⟨P^{\ast }(r),V(e^{\prime })⟩(G)=1]\\ & =\sum _{r^{\ast }}\underset{r,e,e^{\prime }}{\mathrm{Pr}}[r=r^{\ast },e\in S_{r^{\ast }},e^{\prime }\in S_{r^{\ast }}]\\ & =\sum _{r^{\ast }}\frac{(Pr[S_{r^{\ast }}]{)}^2}{\#(r)}\end{array}$$

利用 Cauchy 不等式 $({\sum }_i{a}_i^2)({\sum }_i{b}_i^2)\ge ({\sum }_i{a}_i{b}_i{)}^2$，设 $\forall i,a_i=1$ 得到：
$$Pr[\text{Initial Ext succ}]\ge \frac{({\sum }_{r^{\ast }}Pr[S_{r^{\ast }}]{)}^2}{(\#(r){)}^2}=p^2$$

等号成立当仅当 $\forall r^{\ast },Pr[S_{r^{\ast }}]$ 都相等（敌手成功率 $\forall r,\underset{e}{\mathrm{Pr}}[⟨P^{\ast }(r),V⟩(G)]=p$），而这种敌手 $P^{\ast }$ 是可以存在的。

二、另一个知识提取器 $Ext$ 容易看出它的成功率是 $p$（step1 以及 step 3 中独立的随机变量 $(r,e)$ 落入 $S={\bigcup }_r{S}_r$ 的概率），但是还需要证明它可以在期望多项式时间内结束。

我们简记 $r$ 是 step 1 的随机带，$e$ 是 step 3 的随机带，$r^{\prime }=e_1\Vert \cdots \Vert e_{poly(n)}$ 是 step 4 的随机带。我们依然针对每一个 $r$ 考虑 “好” 随机带的收集，
S r : = { e : ⟨ P ∗ ( r ) , V ( e ) ⟩ ( G ) = 1 } S_r := \{e: \lang P^*(r),V(e) \rang(G)=1\} Sr​:={e:⟨P∗(r),V(e)⟩(G)=1}

简记 ${\delta }_r=Pr[S_{r^{\ast }}]=|S_r|/\#(r)$，令 $T_{r,e,r^{\prime }}$ 是设置好三个随机带后 $Ext$ 的运行时间，令 $t_3$ 表示一轮 step 3 的执行时间，则期望的运行时间为
$$\begin{array}{rl}\mathbb{E}(t)& =\sum _{r,e,r^{\prime }}{T}_{r,e,r^{\prime }}\cdot Pr[r{\leftarrow }_R,e{\leftarrow }_R,r^{\prime }{\leftarrow }_R]\\ & =\sum _{r}Pr[r]\cdot \left(\sum _{e\in S_r}Pr[e]\left(\sum _{r^{\prime }}{T}_{r,e,r^{\prime }}\cdot Pr[r^{\prime }]\right)+\sum _{e\notin S_r}Pr[e]\left(\sum _{r^{\prime }}{T}_{r,e,r^{\prime }}\cdot Pr[r^{\prime }]\right)\right)\\ & =\sum _{r}Pr[r]\cdot \left(\left(t_3+\frac{t_3}{{\delta }_r}\right)\cdot \sum _{e\in S_r}Pr[e]+t_3\cdot \sum _{e\notin S_r}Pr[e]\right)\\ & \le \sum _{r}Pr[r]\cdot \left(\left(t_3+\frac{t_3}{{\delta }_r}\right)\cdot {\delta }_r+t_3\cdot (1-{\delta }_r)\right)\\ & =2\cdot t_3\end{array}$$

因此这个知识提取器在期望多项式时间内结束。

但要注意的是，即使 $|\delta -{\delta }^{\prime }|=negl(n)$，也不一定使得 $\delta \cdot \frac{1}{{\delta }^{\prime }}$ 有界（可能会无穷大）。在上述的证明中，因为 $r$ 固定了，因此独立随机地选取 $r^{\prime }$ 它落在 $S_r$ 中的概率恰好为 ${\delta }_r$ 而没有任何损失。

Special Soundness

如果给定了两个 accepting 副本 $(a,e,z),(a,e^{\prime },z^{\prime })$，其中 $e\ne e^{\prime }$，那么不失一般性地 $e=0,e^{\prime }=1$，于是从 $z$ 中我们获得了 $G^{\prime }\cong G$，从 $z^{\prime }$ 中我们获取了 $H^{\prime }\subseteq G^{\prime }$。只需做一个逆映射，就得到了证据 $H={\pi }^{-1}(H^{\prime })\subseteq G$，这里的算法描述就是一个 $Ext$ 的实际构造。

Constant Round ZKP

对于常数轮的 IP 系统，由于是通过 $n$ 路并行来实现的 soundness error 的降低，因此在证明 ZK 性质时，按照之前的模拟思路，模拟器必须同时猜对全部的 $n$ 个挑战 $\vec{e}=e_1\Vert \cdots \Vert e_n$，这导致 rewinding 的次数是指数级！

有两个构造 $s.e.=negl(n)$ 的常数轮 ZK 协议的方法：第一个是 FLS 技术 [Feige, Lapidot, Shamir, 91]，第二个是 GK 技术 [Goldreich, khan, 96]。

FLS Paradigm

[FLS91] 从 [FS89] 中提取出了关键思想：在 first phase 中，使用 WI PoK，为模拟器创建一个 trapdoor，从而可证明安全。

下面，我们描述下 Feige-Shamir Protocol 的工作流程。令 WIPoK 是一个并行版本的 public-coin IP 系统，它的 knowledge error 是可忽略的。令 $f$ 是一个 OWF。

1. 在第一阶段，$V$ 创造一个 “或” 语言 L 2 : = { ( y 0 , y 1 ) : ∃ r b , b ∈ { 0 , 1 } , y b = f ( r b ) } L^2:=\{(y_0,y_1): \exists r_b, b \in \{0,1\}, y_b=f(r_b)\} L2:={(y0​,y1​):∃rb​,b∈{0,1},yb​=f(rb​)} 的实例和证据 $((y_0,y_1),r_b)$，接着作为证明者利用 WIPoK 向 $P$ 证明自己 “知道” 证据 $r_b$
2. 在第二阶段，$P$ 利用 WIPoK 向 $V$ 证明自己知道 $(x,y_0,y_1)$ 三者中某一个的证据。在 Real World 中诚实的 $P(w)$ 实际使用了 $x$ 的证据 $w$ 来执行此阶段；但在证明 ZK 性质时模拟器 $Sim$ 可以作为第一阶段中的验证者（作为 $P$），通过 rewinding 提取出 $V^{\ast }$ 的知识 $r_b$（因为是 PoK），从而在第二阶段使用这个证据来为 $V^{\ast }$ 模拟出不可区分的视图（我们给 $Sim$ 提供了一个 Trapdoor）。

FS 协议中第一阶段和第二阶段同向的消息传递可以被放在一起，因此它是

• 4-round CZK argument under OWP：虽然此时存在 perfect-binding 的无交互承诺协议，但是由于 $L^2$ 基于 OWF 尽可以抵御 PPT 敌手，因此它不是 proof
• 5-round CZK argument under OWF：虽然此时存在 statistical-binding 的 2-round 承诺协议，但一样由于 OWF 仅仅是 argument
• 5-round PZK argument under DL：此时存在 perfect-hiding 的 2-round 承诺协议

FS 协议的 Completeness 是显然的。我们证明它是 argument of knowledge。构造如下的知识提取器，它与前一节中 PoK 的提取器的唯一区别就是多了 step 2 的第一阶段 WIPoK 的诚实执行。

首先，要证明 $Ext$ 的运行时间是期望多项式的，过程与前一节的 PoK 中的第二个提取器的证明完全相同。其次，我们证明 $Ext$ 有着显著的概率可以提取出知识（就是 step 3 中 $e$ 落入 $S_r$ 的概率，其中 $r$ 是随机的，于是概率就是 $p$）。

最后，我们还需要证明 $Ext$ 提取出来的知识有显著概率是 $x$ 的证据 $w$（如果提取出是 $r_b,r_{1-b}$，这对于 $V^{\ast }$ 来说根本不是知识）。假如提取出的证据满足 y b = f ( w ) , b ∈ { 0 , 1 } y_b = f(w),b \in \{0,1\} yb​=f(w),b∈{0,1}（这儿符号滥用了，读者注意分辨），

1. 假如总是有 $w=r_b$，这儿的 $r_b$ 是 $Ext$ 自己持有的关于 $(y_0,y_1)$ 的证据，那么说明 $P^{\ast }$ 打破了第一阶段 PoK 的 WI 性质
2. 假如以 $\frac{1}{2}+negl(n)$ 的概率有 $w=r_{1-b}$，那么说明 $P^{\ast }$ 打破了 OWF

从而假设不成立，于是 $Ext$ 提取出的证据就是 $x$ 的证据 $w$（除了 $negl(n)$ 的概率）。实际上针对 $L^2$ 的 WIPoK，就是一个针对 $L^2$ 上困难分布的 WHPoK，如果 $P^{\ast }$ 持有了 $(y_0,y_1)$ 的证据 $r_b$，这就打破了 WH 性质。

我们证明它是 zero knowledge。构造如下的模拟器，它包含了一个针对第一阶段 WIPoK 的知识提取器，通过 rewinding 抓取出陷门 $r_b$，然后再用这个陷门为 $V^{\ast }$ 模拟出第二阶段的视图。

这个 $Sim$ 本质上是一个 $Ext$，这与上一节中证明 ZK 性质的构造思路完全不同：那个模拟器使用 rewinding 技术直到 “猜对”（从而模拟视图与真实视图不可区分），而这个模拟器使用 rewinding 技术直到 “提取” 出陷门 $r_b$，接下来自然地可以给出一个第二阶段的与真实视图不可区分的模拟视图。

一样的，我们可以证明这个 $Sim$ 执行时间是期望多项式的（与上一节中的 PoK 里的 $Ext$ 完全相同），并证明模拟视图与真实视图不可区分（这很自然）。

GK Paradigm

Goldreich- khan 范式中，使用了两个不同的承诺协议。

1. 用一个 Perfect Binding 承诺协议，实现一个 $s.e.=negl(n)$ 的三轮 proof 系统
2. 在执行 proof 之前，用一个 2-round Perfect Hiding 承诺协议（回顾下，不存在无交互的 Perfect Hiding 承诺协议），将之后要执行的随机挑战 $\vec{e}$ 做一个承诺

其 completeness 是容易证明的。由于我们使用 Perfect Binding 承诺协议实现了基础的 3-round proof 系统，因此 GS 协议自然也是个 proof with $s.e.=negl(n)$，否则这就打破了 Perfect Binding。

对于 zero knowledge，GS 范式依然是使用通常的 “猜测” 加上 rewinding 技术，但是限制了 $Sim$ 的最大执行时间（超时 abort），并且出现了 $|\delta -{\delta }^{\prime }|=negl(n)$ 的情形（导致 $\frac{\delta }{{\delta }^{\prime }}$ 不一定有界）。[Goldreich, Kahan, 96] 使用了统计测试技术，来测量 $\delta$ 的数值（原始论文我没看过，可能有说的不对的地方）。